"Человек - самое уязвимое место в системе безопасности.."

Двухфакторная аутентификация уязвима на мобильных устройств

Эксперты амстердамского университета выявили, что двухфакторную аутентификацию можно обойти, если жертва использует смартфон iOS или Android. Проблема заключается в автоматической синхронизации устройств, которую реализуют сервисы Apple и Google.

Обычная двухфакторная аутентификация имеет два независимых канала, с помощью которых нужно подтвердить идентификатор. Примерами могут быть:

  • стандартный пароль + одноразовый пароль полученный по SMS. Нужно отметить, что если вы вводите пароль и получаете SMS на одном устройстве — защита перестает быть двухфакторной
  • Аппаратные токены + пароль — отличное решение, однако не все сервисы поддерживают такую процедуру, а также при использовании множества аккаунтов придется носить брелки с токенами

Принцип успешной атаки заключен в том, чтобы ПК жертвы был заражён специальным вирусом. Вирус атакует пользователей Android, а затем от имени жертвы обращается к Google Play и устанавливает уже на телефон шпионское ПО. Затем ПО ждет SMS и отправляет на сервер злоумышленника.

Самое главное — затащить зараженное ПО в Google Play и это оказалось сложной задачей. Однако злоумышленники смогли решить эту задачу. Зараженное ПО реализовало сторонний исходный код из специального сервера. Все функции были написаны на Javascript, которые были помещены на сервер. Запросы на сервер со стороны Google ничего не показали, однако программа лично могла исполнять эти функции.

Обойти iOS еще проще. В последних версиях iOS и OS X есть функция — Continuity. Она разрешает читать SMS мобильного устройства с помощью компьютера. Чтобы перехватить SMS с одноразовым паролем, достаточно вирусом мониторить содержимое файла «~/library/messages/chat.db» куда поступают входящие SMS.

Уязвимость была обнаружена еще 2 года назад. Эксперты сообщали многим сервисам использующих двухфакторую аутентификацию об этой уязвимости. Однако никто еще не отреагировал должным образом.

Главной задачой пользователя является недопущение работы вируса на вашем ПК/мобильном устройстве.